Wymagania dotyczące sieci
Rozwiązanie Windows Autopilot zależy od różnych usług internetowych. Aby rozwiązanie Autopilot działało prawidłowo, należy zapewnić dostęp do tych usług. W najprostszym przypadku można osiągnąć odpowiednie funkcje, zapewniając następujące warunki:
- Upewnij się, że rozpoznawanie nazw dns (Domain Name Services) dla internetowych nazw DNS.
- Zezwalaj na dostęp do wszystkich hostów za pośrednictwem portu 80 (HTTP), 443 (HTTPS) i 123 (UDP/NTP).
Dodatkowa konfiguracja może być wymagana do udzielenia dostępu do wymaganych usług w środowiskach, które:
- Masz bardziej restrykcyjny dostęp do Internetu.
- Wymagaj uwierzytelniania przed uzyskaniem dostępu do Internetu.
Wymagania dotyczące usługi
Rozwiązanie Windows Autopilot korzysta z kilku różnych typów usług, które działają prawidłowo. Aby te usługi działały prawidłowo, należy wykonać pewne konfiguracje sieci. Te usługi i ich wymagane konfiguracje sieci są następujące:
usługa Windows Autopilot Deployment
Po nawiązaniu połączenia sieciowego każde urządzenie z systemem Windows skontaktuje się z usługą Windows Autopilot Deployment. Używane są następujące adresy URL:
https://ztd.dds.microsoft.com
https://cs.dds.microsoft.com
https://login.live.com
Aktywacja systemu Windows
Rozwiązanie Windows Autopilot wymaga usług aktywacji systemu Windows. Aby uzyskać więcej informacji na temat adresów URL, które muszą być dostępne dla usług aktywacji, zobacz Aktywacja systemu Windows lub walidacja kończy się niepowodzeniem z kodem błędu 0x8004FE33.
Tożsamość Microsoft Entra weryfikuje poświadczenia użytkownika. Ponadto urządzenie jest przyłączone lub zarejestrowane w Tożsamość Microsoft Entra podczas pracy z rozwiązaniem Windows Autopilot. Aby uzyskać więcej informacji, zobacz Office 365 adres IP i adres URL usługi sieci Web.
Po uwierzytelnieniu Tożsamość Microsoft Entra wyzwala rejestrację urządzenia w usłudze zarządzania urządzeniami przenośnymi (MDM) Intune. Aby uzyskać więcej informacji na temat wymagań dotyczących komunikacji sieciowej Intune, zobacz następujące artykuły:
Automatyczna kolekcja diagnostyki urządzeń rozwiązania Autopilot
Aby diagnostyka mogła pomyślnie przekazać dane z klienta, upewnij się, że adres URL lgmsapeweu.blob.core.windows.net
nie jest zablokowany w sieci. Diagnostyka jest dostępna przez 28 dni przed ich usunięciem.
Aby uzyskać więcej informacji, zobacz Zbieranie diagnostyki z urządzenia z systemem Windows.
Podczas procesu oOBE (out-of-box experience) i po konfiguracji systemu operacyjnego Windows usługa Windows Update pobiera wymagane aktualizacje. Jeśli występują problemy z nawiązywaniem połączenia z Windows Update, zobacz rozwiązywanie problemów z Windows Update.
Jeśli Windows Update jest niedostępny, proces rozwiązania Autopilot nadal trwa, ale aktualizacje krytyczne nie są dostępne.
Optymalizacja dostarczania
Rozwiązanie Autopilot kontaktuje się z usługą optymalizacji dostarczania podczas pobierania aplikacji i aktualizacji. Ten kontakt ustanawia współużytkowanie równorzędne zawartości, dzięki czemu tylko kilka urządzeń musi pobrać ją z Internetu.
- Windows Aktualizacje.
- Aplikacje i aktualizacje aplikacji w sklepie Microsoft Store.
- Office Aktualizacje.
- Intune aplikacji Win32.
Jeśli usługa optymalizacji dostarczania jest niedostępna, proces rozwiązania Autopilot nadal będzie kontynuowany, a optymalizacja dostarczania zostanie pobrana z chmury bez komunikacji równorzędnej.
Synchronizacja protokołu NTP (Network Time Protocol)
Po uruchomieniu urządzenia z systemem Windows rozmawia z serwerem czasu sieciowego, aby upewnić się, że czas na urządzeniu jest poprawny. Upewnij się, że port UDP 123 do time.windows.com
jest dostępny.
Aby rozpoznać nazwy internetowe dla wszystkich usług, urządzenie komunikuje się z serwerem DNS, zwykle dostarczanym za pośrednictwem protokołu DHCP. Ten serwer DNS musi być w stanie rozpoznać nazwy internetowe.
Zbieranie danych diagnostycznych jest domyślnie włączone. Aby uzyskać więcej informacji, zobacz Zarządzanie danymi diagnostycznymi przedsiębiorstwa.
Jeśli urządzenie nie może wysłać danych diagnostycznych, proces rozwiązania Autopilot nadal będzie kontynuowany. Jednak usługi zależne od danych diagnostycznych nie działają.
Wskaźnik stanu połączenia sieciowego (NCSI)
System Windows musi mieć możliwość poinformowania, że urządzenie może uzyskiwać dostęp do Internetu. Aby uzyskać więcej informacji, zobacz Wskaźnik stanu połączenia sieciowego (NCSI).
*.msftconnecttest.com
musi być rozpoznawalna za pośrednictwem systemu DNS i dostępna za pośrednictwem protokołu HTTP.
Usługi powiadomień systemu Windows (WNS)
Ta usługa służy do umożliwienia systemowi Windows otrzymywania powiadomień z aplikacji i usług. Aby uzyskać więcej informacji, zobacz Microsoft Store.
Jeśli usługi WNS nie są dostępne, proces rozwiązania Autopilot nadal będzie kontynuowany bez powiadomień.
Aplikacje w sklepie Microsoft Store można wypchnąć do urządzenia, wyzwalając je za pośrednictwem Intune lub innej usługi MDM. Aktualizacje aplikacji i dodatkowe aplikacje mogą być również potrzebne, gdy użytkownik po raz pierwszy się zaloguje. Aby uzyskać więcej informacji, zobacz Update to Intune integration with the Microsoft Store on Windows and FAQ: Supporting Microsoft Store experiences on managed devices (Aktualizowanie w celu Intune integracji ze Sklepem Microsoft w systemie Windows i często zadawane pytania: obsługa środowisk sklepu Microsoft Store na zarządzanych urządzeniach).
Jeśli sklep Microsoft Store nie jest dostępny, proces rozwiązania Autopilot nadal będzie kontynuowany bez aplikacji ze Sklepu Microsoft.
W ramach konfiguracji urządzenia Intune może być wymagana instalacja aplikacji platformy Microsoft 365 dla przedsiębiorstw. Aby uzyskać listę zawierającą wszystkie usługi pakietu Office, nazwy DNS, adresy IP, w tym Tożsamość Microsoft Entra i inne usługi, które mogą pokrywać się z wcześniej wymienionymi usługami, zobacz Office 365 adresy URL i zakresy adresów IP.
Listy odwołania certyfikatów (CRL)
Niektóre z tych usług muszą również sprawdzać listy odwołania certyfikatów (CRL) pod kątem certyfikatów używanych w usługach. Aby uzyskać pełną listę, zobacz Office 365 adresów URL i zakresów adresów IP oraz Office 365 łańcuchów certyfikatów.
przyłączanie hybrydowe Microsoft Entra
Urządzenie można Microsoft Entra przyłączone hybrydowo. Komputer powinien znajdować się w sieci wewnętrznej, aby Microsoft Entra przyłączanie hybrydowe do pracy. Aby uzyskać więcej informacji, zobacz Tryb oparty na użytkowniku rozwiązania Windows Autopilot.
Tryb samodzielnego wdrażania rozwiązania Autopilot i wstępna aprowizowanie rozwiązania Autopilot
Proces zaświadczania modułu TPM wymaga dostępu do zestawu adresów URL HTTPS, które są unikatowe dla każdego dostawcy modułu TPM. Upewnij się, że masz dostęp do tego wzorca adresu URL: *.microsoftaik.azure.net
.
Urządzenia TPM oprogramowania układowego, które są dostarczane tylko przez intel, AMD lub Qualcomm, nie zawierają wszystkich wymaganych certyfikatów w czasie rozruchu i muszą być w stanie pobrać je od producenta przy pierwszym użyciu. Urządzenia z dyskretnymi mikroukładami modułu TPM są wyposażone w wstępnie zainstalowane certyfikaty. Urządzenia te obejmują urządzenia innych producentów. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące modułu TPM.
Dla każdego dostawcy modułu TPM oprogramowania układowego upewnij się, że odpowiedni adres URL jest dostępny, aby można było pomyślnie zażądać certyfikatów. Przykład:
- Intel:
https://ekop.intel.com/ekcertservice
- Qualcomm:
https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
- AMD:
https://ftpm.amd.com/pki/aia
Wdrażanie ustawień serwera proxy dla rozwiązania Windows Autopilot powinno być skonfigurowane na samym serwerze proxy. Implementowanie ustawień serwera proxy za pośrednictwem zasad Intune nie jest w pełni obsługiwane, ponieważ może powodować problemy i nieoczekiwane zachowanie w przypadku wdrożeń dostępu uprzywilejowanego.